Cloud Assembly unterstützt die Integration mit Active Directory-Servern, um die sofortige Erstellung von Computerkonten in einer bestimmten Organisationseinheit (OE) innerhalb eines Active Directory-Servers vor der Bereitstellung einer virtuellen Maschine zu ermöglichen. Active Directory unterstützt eine LDAP-Verbindung zum Active Directory-Server.

Eine Active Directory-Richtlinie, die mit einem Projekt verknüpft ist, wird auf alle virtuellen Maschinen angewendet, die im Geltungsbereich dieses Projekts bereitgestellt werden. Benutzer können ein oder mehrere Tags zur selektiven Anwendung der Richtlinie auf virtuelle Maschinen festlegen, die in den Cloud-Zonen mit übereinstimmenden Funktions-Tags bereitgestellt werden.

Wenn eine Active Directory-Integration erstellt wird, werden einige Eigenschaften während der Erstellung des Computerobjekts in Active Directory festgelegt und können nicht geändert werden. Insbesondere die folgenden Standardeigenschaften können nicht geändert werden: 
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Für lokale Bereitstellungen ermöglicht die Active Directory-Integration die Einrichtung einer Integritätsüberprüfung, die den Status der Integration und der zugrunde liegenden ABX-Integration anzeigt, auf die diese sich stützt, einschließlich des erforderlichen Erweiterbarkeits-Cloud-Proxy. Bevor Sie eine Active Directory-Richtlinie anwenden, prüft Cloud Assembly den Status der zugrunde liegenden Integrationen. Wenn die Integration fehlerfrei ist, erstellt Cloud Assembly die bereitgestellten Computerobjekte im angegebenen Active Directory. Wenn die Integration fehlerhaft ist, überspringt der Bereitstellungsvorgang die Active Directory-Phase während der Bereitstellung.

Voraussetzungen

  • Die Active Directory-Integration erfordert eine LDAP-Verbindung zum Active Directory-Server.
  • Wenn Sie eine Active Directory-Integration mit einem vCenter lokal konfigurieren, müssen Sie eine ABX-Integration mit einem Erweiterbarkeits-Cloud-Proxy konfigurieren. Wählen Sie Erweiterbarkeit > Aktivität > Integrationen und anschließend Lokale Erweiterbarkeitsaktionen aus.
  • Wenn Sie eine Integration mit Active Directory in der Cloud konfigurieren, müssen Sie über ein Microsoft Azure- oder Amazon Web Services-Konto verfügen.
  • Sie müssen über ein mit den entsprechenden Cloud-Zonen konfiguriertes Projekt sowie über Image- und Typzuordnungen für die Verwendung mit der Active Directory-Integration verfügen.
  • Die gewünschte OE in Ihrem Active Directory muss vorab erstellt werden, bevor Sie Ihre Active Directory-Integration mit einem Projekt verknüpfen.
  • Der für die Active Directory-Integration konfigurierte Benutzer muss über Berechtigungen zum Erstellen/Löschen/Suchen von Computerobjekten in der konfigurierten Organisationseinheit verfügen.

Prozedur

  1. Wählen Sie Infrastruktur > Verbindungen > Integrationen und dann Neue Integration aus.
  2. Klicken Sie auf Active Directory.
  3. Geben Sie auf der Registerkarte Übersicht die entsprechenden Namen für LDAP-Host und Umgebung ein.
    Der angegebene LDAP-Host wird zum Überprüfen der Active Directory-Integration verwendet. Dieser Host wird auch für nachfolgende Bereitstellungen verwendet, wenn aufgrund von Fehlern oder Nichtverfügbarkeit keine alternativen Hosts angegeben und aufgerufen werden.
  4. Geben Sie den Benutzernamen und das Kennwort für den LDAP-Server an.
  5. Geben Sie den entsprechenden Basis-DN ein, der den Root für die gewünschten Active Directory-Ressourcen angibt.
    Hinweis: Sie können pro Active Directory-Integration nur einen DN angeben.
  6. Klicken Sie auf Validieren, um sicherzustellen, dass die Integration funktioniert.
  7. Geben Sie einen Namen und eine Beschreibung für diese Integration ein.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie auf die Registerkarte Projekt, um der Active Directory-Integration ein Projekt hinzuzufügen.
    Im Dialogfeld Projekte hinzufügen müssen Sie einen Projektnamen und einen relativen DN auswählen. Dieser DN befindet sich innerhalb des auf der Registerkarte „Übersicht“ angegebenen Basis-DN.
  10. Geben Sie unter „Erweiterte Optionen“ eine kommagetrennte Liste mit alternativen Hosts an, die verwendet werden, wenn der anfänglich ausgewählte Server während der Bereitstellung nicht verfügbar ist. Der primäre Server wird immer für die erstmalige Überprüfung der Integration verwendet.
    Hinweis: Wenn der primäre Host das Format LDAP aufweist, wird LDAPS für alternative Hosts nicht unterstützt.
  11. Geben Sie im Feld Zeitüberschreitung bei Verbindung die Wartezeit bis zur Reaktion des anfänglichen Servers in Sekunden ein, bevor Sie einen alternativen Server verwenden.
  12. Klicken Sie auf Speichern.

Ergebnisse

Sie können das Projekt nun mit Active Directory-Integration mit einer Cloud-Vorlage verknüpfen. Wenn eine Maschine mithilfe dieser Cloud-Vorlage bereitgestellt wird, wird sie im angegebenen Active Directory und in der angegebenen Organisationseinheit vorab bereitgestellt.

Zunächst werden Active Directory-Integrationen in einer Standard-OE mit geringen Benutzereinschränkungen bereitgestellt. Die Organisationseinheit ist standardmäßig festgelegt, wenn Sie einem Projekt eine Active Directory-Integration zuordnen. Sie können Blueprints eine Eigenschaft mit dem Namen FinalRelativeDN hinzufügen, um die Organisationseinheit für Active Directory-Bereitstellungen zu ändern. Mithilfe dieser Eigenschaft können Sie die Organisationseinheit angeben, die mit einer Active Directory-Bereitstellung verwendet werden soll.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Wie im vorherigen YAML-Beispiel gezeigt, können Benutzer einer Active Directory-Integrationsbereitstellung eine Eigenschaft hinzufügen, die der Sicherheitsgruppe ein Computerkonto hinzufügt, sodass entsprechende Berechtigungen für den Zugriff auf die gemeinsam genutzte Ressource über ein Netzwerk zugewiesen werden. Die virtuelle Active Directory-Maschine wird anfänglich in einer festen Organisationseinheit bereitgestellt. Sobald die Maschine jedoch freigegeben werden kann, wird sie in eine andere Organisationseinheit mit der entsprechenden Richtlinie für Benutzer verschoben.

Wenn ein Computerkonto nach der Bereitstellung in eine andere Organisationseinheit verschoben wird, versucht Cloud Assembly, die Konten in der anfänglichen Organisationseinheit zu löschen. Computerkonten können nur dann erfolgreich gelöscht werden, wenn virtuelle Maschinen in eine andere Organisationseinheit innerhalb derselben Domäne verschoben werden.

Sie können auch eine Tag-basierte Integritätsprüfung für lokale Active Directory-Integrationen wie folgt implementieren.

  1. Erstellen Sie eine Active Directory-Integration, wie in den vorhergehenden Schritten beschrieben.
  2. Klicken Sie auf die Registerkarte Projekt, um der Active Directory-Integration ein Projekt hinzuzufügen.
  3. Wählen Sie im Dialogfeld „Projekte hinzufügen“ einen Projektnamen und einen relativen DN aus. Der relative DN muss innerhalb des angegebenen Basis-DN vorhanden sein.

    Dieses Dialogfeld enthält zwei Switches, mit denen Sie die Active Directory-Konfiguration von Cloud-Vorlagen aus steuern können. Beide Switches sind standardmäßig deaktiviert.

    • Außerkraftsetzen – Mit diesem Switch können Sie Active Directory-Eigenschaften außer Kraft setzen, insbesondere den relativen DN in Cloud-Vorlagen. Wenn diese Option aktiviert ist, können Sie die in der Eigenschaft relativeDN angegebene Organisationseinheit in der Cloud-Vorlage ändern. Bei der Bereitstellung wird die Maschine zu der in der Eigenschaft relativeDN angegebenen Organisationseinheit in der Cloud-Vorlage hinzugefügt. Das folgende Beispiel zeigt die Hierarchie der Cloud-Vorlagen, in der diese Eigenschaft angezeigt wird.
      activeDirectory:
     relativeDN: OU=ad_integration_machine_override
    • Ignorieren – Mit diesem Switch können Sie die Active Directory-Konfiguration für das Projekt ignorieren. Wenn diese Option aktiviert ist, wird die Eigenschaft der Cloud-Vorlage namens ignoreActiveDirectory für die zugeordnete virtuelle Maschine hinzugefügt. Wenn diese Eigenschaft auf „true“ festgelegt ist, bedeutet dies, dass die Maschine bei der Bereitstellung nicht zu Active Directory hinzugefügt wird.
  4. Fügen Sie entsprechende Tags hinzu. Diese Tags gelten für die Cloud-Zone, auf die die Active Directory-Richtlinie angewendet werden kann.
  5. Klicken Sie auf „Speichern“.

Der Status der Active Directory-Integration wird für jede Integration auf der SeiteInfrastruktur > Verbindungen > Integrationen in Cloud Assembly angezeigt.

Sie können das Projekt mit Active Directory-Integration mit einer Cloud-Vorlage verknüpfen. Wenn eine Maschine mithilfe dieser Vorlage bereitgestellt wird, wird sie im angegebenen Active Directory und in der angegebenen Organisationseinheit vorab bereitgestellt.